Šifrování existující databáze

Re:Šifrování existující databáze
« Odpověď #15 kdy: 20. 06. 2018, 19:48:19 »
Proxy či přesun databáze na jinou virtuálku vás ani omylem nezachrání. Musíte si uvědomit, kudy se lze k datům dostat a cíleně tomu zamezit. A tam, kde to lze, omezit i okruh potenciálních útočníků.

Takže zakažte na virtuálce všechny nepotřebné služby a porty, otevřete jen port pro ty webové aplikace. Pokud to lze, tak jen pro vybrané IP adresy nebo pouze prostřednictvím VPN.

...

Pokud na tom záleží, nechte si to zkontrolovat od někoho, kdo se tím rutinně zabývá. Jako laik v té oblasti nemáte šanci domyslet všechny úskalí.

Zde, ZAJDANE, souhlasím. Oddělení může snížit jen určitý typ rizik, mimo to byste měl mezi oddělenými stroji vytvořit VLAN a i v rámci ní mít firewall a dokonce i na odchozí spojení. Ani to sice, jak píše pan Němeček, nezabrání 100 % útoků, ale minimálně to dost zkomplikuje život těm, kteří budou útočit jen skrz nějakou slabinu, ale nezíská přímo přístup do celé instalace. Pokud ho získá, otevře si aplikaci, vyčte heslo k databázi a má data tak jako tak.

Pak by měla být zabezpečena i nová odchozí spojení ze serveru, protože tím ztížíte stažení dalších nástrojů, kteřé útočníci využívají. Management (SSH) by měl být dostupný jen z privátní VLAN, do ní přístup např. přes VPN.

Aplikace je samozřejmě základ. Pokud necháte díru v samotné aplikaci, nezachrání Vás nic. Proxy může pomoci např. tím, že ještě dodatečně omezí jak velikost POST requestu, tak i návratu. Tím opět zpomalíte únik dat a zabráníte části automatizovaných scriptů, které hackůjí, aby provedly, co potřebují.

Nedá se do diskuse popsat, co máte udělat, to jsou jen takové tipy, které ve Vás mají nastartovat zamyšlení se nad tématem. Je opravdu nejlepší to svěřit do rukou odborníka, ten to dá nejlépe dohromady s architektem aplikace / řešení.

(Mám ale trochu pocit, že se snažíte dohnat jakousi bezpečnost "šifrováním", ale ve skutečnosti máte běžnou webovou appku nejlépe běžící na apachi, s .htaccessem a mysql, vše v jednom virtual rootu, ... - tam bezpečnost nenaženete a opravdu začněte od appky a její architektury).


Re:Šifrování existující databáze
« Odpověď #16 kdy: 20. 06. 2018, 20:00:56 »
web za reverzní proxy
Není to málo? Na proxy se nikdy nesmí šetřit. Já bych tam dal minimálně haproxy → nginx → Apache, a zvážil bych hyproxy → Varnish → nginx → Apache. Čím víc proxy, tím víc Addidas!

Máte pravdu v tom, že reverzní proxy se běžně nasazují – ale vždy to má nějaký důvod. A často také vůbec žádný důvod neexistuje, a pak je zbytečné tam reverzní proxy cpát jen tak, aby tam byla.

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Šifrování existující databáze
« Odpověď #17 kdy: 21. 06. 2018, 08:20:04 »
Hoši, zas taková Lamka nejsem...aplikace predevším.
Neříkám, že ji mám zabezpeženou dokonale, ale to, na co jsem se ptal jsou jen další věci, kterými chci ztrpčit život loupežníkům.
Jo a nechci to zařeknout, ale ta reverzni proxina naboostrovala načítání webu...je to znát.
díky
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Honza

Re:Šifrování existující databáze
« Odpověď #18 kdy: 21. 06. 2018, 12:01:53 »
Ja bych jeste doporucil si trochu pohrat se SELinuxem. Myslim ze by mohl taky par problemu vyresit.